El plugin News Element Elementor Blog Magazine para WordPress es vulnerable a la Inclusión de Archivos Locales en todas las versiones hasta, e incluyendo, la 1.0.5. Esto permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos.
La falta de control adecuado del nombre de archivo para las declaraciones de Include/Require en programas PHP (‘Inclusión Remota de Archivos PHP’) crea esta vulnerabilidad en el plugin News Element Elementor Blog Magazine. Los atacantes pueden aprovechar esta vulnerabilidad para eludir controles de acceso, obtener datos sensibles o lograr la ejecución de código en casos donde se puedan cargar e incluir imágenes y otros tipos de archivos ‘seguros’.
Se recomienda a los usuarios afectados por esta vulnerabilidad actualizar el plugin News Element Elementor Blog Magazine a la última versión disponible lo antes posible, y como medida de precaución, se debe revisar y restringir los permisos de acceso a los archivos del servidor para evitar la inclusión de archivos no deseados.